Zoom 緊急修補 2 個可導致遠端執行任意程式碼的嚴重漏洞
- 發布單位:TWCERT/CC
- 更新日期:2020-06-09
- 點閱次數:1785
廣受全球遠距會議用戶愛用的 Zoom,近來被發現兩個嚴重資安漏洞,可能導致駭侵者利用此漏洞,遠端執行任意程式碼。
第一個漏洞編號為 CVE-2020-6109,發生在 Zoom 處理 GIF 圖像時發生的錯誤;駭侵者可傳送一個特製的訊息到欲攻擊的線上會議用戶或群組,並以該用戶當時擁有的權限範圍內,在任意目錄中寫入一個檔案。
駭侵者可以傳送一個以 GIF 副檔名結尾的檔案,但檔案內容實際上是一段可執行的指令碼或 script;駭侵者就可以利用這段偽裝的程式碼來進行駭侵攻擊。
這個漏洞的 CVSS 3.0 危險評分高達 8.5 分。
編號 CVE-2020-6110 的漏洞則和檔案處理的錯誤有關。駭侵者可以發送一段特製訊息給會議室中的個人或群組,並利用這個漏洞在部分特定目錄中寫入一個自我解壓縮的 zip 檔,以執行其他駭侵攻擊活動。
這個漏洞的 CVSS 3.0 危險評分也相當高,達 8.0 分。
兩個漏洞都存於 Zoom 4.6.10 之前的各作業系統版本,另一個漏洞則也存於新一點的 Zoom 4.6.11。
發現這兩個漏洞的,是網通大廠 Cisco 旗下的資安研究團隊 Talos。該單位在發現漏洞後即通報 Zoom 進行修補,目前這兩個漏洞均已在最新版本的 Zoom 中得到解決。
尚未更新至最新版本 Zoom 的用戶,請盡速更新,以避免遭駭侵者利用此二漏洞發動攻擊。
- CVE編號:CVE-2020-6109、CVE-2020-6110
- 影響產品/版本:Zoom 4.6.11 與先前版本
- 解決方案:更新至 Zoom 最新版本